« 使用 Docker 安装 Kibana Kibana 中的 AI 助手设置 »
Elastic 文档 Kibana 指南 [8.17] 设置

配置 Kibana

编辑

配置 Kibana

编辑

Kibana 服务器在启动时从 kibana.yml 文件读取属性。此文件的位置取决于您安装 Kibana 的方式。例如,如果您是从存档发行版(.tar.gz.zip)安装 Kibana,则默认情况下它位于 $KIBANA_HOME/config 中。默认情况下,使用软件包发行版(Debian 或 RPM),它位于 /etc/kibana 中。可以通过 KBN_PATH_CONF 环境变量更改配置目录。

KBN_PATH_CONF=/home/kibana/config ./bin/kibana

默认的主机和端口设置将 Kibana 配置为在 localhost:5601 上运行。要更改此行为并允许远程用户连接,您需要更新 kibana.yml 文件。您还可以启用 SSL 并设置各种其他选项。

可以使用 ${MY_ENV_VAR} 语法将环境变量注入到配置中。默认情况下,如果 Kibana 启动时配置文件中使用的环境变量不存在,则配置验证将失败。可以通过为环境变量使用默认值来更改此行为,使用 ${MY_ENV_VAR:defaultValue} 语法。

console.ui.enabled
切换此设置会导致服务器在下次启动时重新生成资源,这可能会导致页面开始服务之前出现延迟。设置为 false 以禁用控制台。 默认值:true
csp.script_src
内容安全策略 script-src 指令 添加来源。
csp.disableUnsafeEval

[8.7.0] 在 8.7.0 中已弃用。如果要启用 unsafe-eval,请改为使用 csp.script_src: ['unsafe-eval']。此配置选项在未来的版本中将不起作用。 将其设置为 false 以将 unsafe-eval 来源表达式添加到 script-src 指令。 默认值:true

csp.disableUnsafeEval 设置为 true 时,Kibana 将使用 Handlebars 模板库的自定义版本。Handlebars 用于 Kibana 前端的各个位置,在这些位置,用户可以在设置可视化时提供自定义模板。如果您在渲染 Handlebars 模板时遇到任何问题,请将此设置设置为 false,并在 Kibana GitHub 存储库中打开一个 issue

csp.worker_src
内容安全策略 worker-src 指令 添加来源。
csp.style_src
内容安全策略 style-src 指令 添加来源。
csp.connect_src
内容安全策略 connect-src 指令 添加来源。
csp.default_src
内容安全策略 default-src 指令 添加来源。
csp.font_src
内容安全策略 font-src 指令 添加来源。
csp.frame_src
内容安全策略 frame-src 指令 添加来源。
csp.img_src
内容安全策略 img-src 指令 添加来源。
csp.frame_ancestors

内容安全策略 frame-ancestors 指令 添加来源。

也可以通过使用 server.securityResponseHeaders.disableEmbedding 来配置 frame-ancestors 指令。在这种情况下,它将优先,并且会忽略 csp.frame_ancestors 中的任何值。

csp.report_only.form_action
在报告模式下为 内容安全策略 form-action 指令 添加来源。
csp.report_uri
内容安全策略 report-uri 指令 添加来源。
csp.report_to
内容安全策略 report-to 指令 添加来源。
csp.strict
阻止 Kibana 访问任何不执行基本 CSP 规则的浏览器。实际上,这会禁用对较旧、不太安全的浏览器(如 Internet Explorer)的支持。有关更多信息,请参阅内容安全策略默认值:true
csp.warnLegacyBrowsers
在加载 Kibana 后,向任何不执行基本 CSP 规则的浏览器显示警告消息,尽管 Kibana 仍然可以访问。当启用 csp.strict 时,此配置实际上会被忽略。 默认值:true
permissionsPolicy.report_to
权限策略 report-to 指令 添加来源。
elasticsearch.maxSockets
可用于与 Elasticsearch 通信的最大套接字数。 默认值:Infinity
elasticsearch.maxResponseSize
要么为 false,要么为 byteSize 值。设置后,将拒绝大小高于定义限制的来自 Elasticsearch 的响应。此目的是用作断路器机制,以避免由于来自 Elasticsearch 的意外高响应而导致的内存错误。 默认值:false
elasticsearch.maxIdleSockets
在 Kibana 和 Elasticsearch 之间保持打开的最大空闲套接字数。如果更多套接字变为空闲,它们将被关闭。 默认值:256
elasticsearch.idleSocketTimeout
Kibana 和 Elasticsearch 之间保持打开的空闲套接字的超时时间。如果套接字空闲时间超过此超时时间,则将关闭该套接字。如果在 Kibana 和 Elasticsearch 之间存在透明代理,请务必将此值设置为小于或等于代理的超时时间。 默认值:60s
elasticsearch.customHeaders
| 要发送到 Elasticsearch 的标头名称和值。无论 elasticsearch.requestHeadersWhitelist 配置如何,任何自定义标头都不能被客户端标头覆盖。 默认值:{}
elasticsearch.hosts:

用于所有查询的 Elasticsearch 实例的 URL。此处列出的所有节点必须位于同一集群上。 默认值:[ "https://127.0.0.1:9200" ]

要为与 Elasticsearch 的出站连接启用 SSL/TLS,请在此设置中使用 https 协议。

elasticsearch.publicBaseUrl:
如果存在,则通过其公开访问 Elasticsearch 的 URL。当用户需要 Elasticsearch 集群的连接详细信息时,此信息将显示在 Kibana 中。
elasticsearch.pingTimeout
等待 Elasticsearch 响应 ping 的时间(以毫秒为单位)。 默认值:elasticsearch.requestTimeout 设置的值
elasticsearch.requestHeadersWhitelist
要发送到 Elasticsearch 的 Kibana 客户端标头列表。要发送不发送客户端标头,请将此值设置为 [](空列表)。从白名单中删除 authorization 标头意味着您无法在 Kibana 中使用 基本身份验证默认值:[ 'authorization', 'es-client-authentication' ]
elasticsearch.requestTimeout
等待来自后端或 Elasticsearch 的响应的时间(以毫秒为单位)。此值必须为正整数。 默认值:30000
elasticsearch.shardTimeout
Elasticsearch 等待来自分片的响应的时间(以毫秒为单位)。设置为 0 可禁用。 默认值:30000
elasticsearch.compression
指定 Kibana 是否应使用压缩与 Elasticsearch 通信。 默认值:false
elasticsearch.sniffInterval
检查 Elasticsearch 是否有更新的节点列表的请求之间的时间(以毫秒为单位)。 默认值:false
elasticsearch.sniffOnStart
尝试在启动时查找其他 Elasticsearch 节点。 默认值:false
elasticsearch.sniffOnConnectionFault
在连接故障后立即更新 Elasticsearch 节点列表。默认值:false
elasticsearch.ssl.alwaysPresentCertificate

控制 Kibana 在被 Elasticsearch 请求时展示客户端证书的行为。此设置适用于所有到 Elasticsearch 的出站 SSL/TLS 连接,包括为最终用户代理的请求。默认值:false

当 Elasticsearch 使用证书通过 PKI 领域对最终用户进行身份验证,并且 elasticsearch.ssl.alwaysPresentCertificate 设置为 true 时,代理的请求可能以与 Kibana 服务器关联的身份执行。

elasticsearch.ssl.certificateelasticsearch.ssl.key

PEM 编码的 X.509 客户端证书及其对应的私钥的路径。Kibana 在建立到 Elasticsearch 的出站 SSL/TLS 连接时使用它们进行自身身份验证。为了使此设置生效,Elasticsearch 中的 xpack.security.http.ssl.client_authentication 设置也必须设置为 "required""optional",以请求 Kibana 提供客户端证书。

这些设置不能与 elasticsearch.ssl.keystore.path 结合使用。

elasticsearch.ssl.certificateAuthorities

一个或多个 PEM 编码的 X.509 证书颁发机构 (CA) 证书的路径,这些证书构成 Elasticsearch 的受信任证书链。Kibana 在建立到 Elasticsearch 的出站 SSL/TLS 连接时使用此链来建立信任。

除了此设置外,还可以通过 elasticsearch.ssl.keystore.path 和/或 elasticsearch.ssl.truststore.path 指定受信任的证书。

elasticsearch.ssl.keyPassphrase
用于解密通过 elasticsearch.ssl.key 指定的私钥的密码。此值是可选的,因为密钥可能未加密。
elasticsearch.ssl.keystore.path

包含 X.509 客户端证书及其对应私钥的 PKCS#12 密钥库的路径。Kibana 在建立到 Elasticsearch 的出站 SSL/TLS 连接时使用它们进行自身身份验证。对于此设置,您还必须将 Elasticsearch 中的 xpack.security.http.ssl.client_authentication 设置为 "required""optional",以请求 Kibana 提供客户端证书。

如果密钥库包含任何其他证书,它们将用作 Elasticsearch 的受信任证书链。Kibana 在建立到 Elasticsearch 的出站 SSL/TLS 连接时使用此链来建立信任。除了此设置外,还可以通过 elasticsearch.ssl.certificateAuthorities 和/或 elasticsearch.ssl.truststore.path 指定受信任的证书。

此设置不能与 elasticsearch.ssl.certificateelasticsearch.ssl.key 结合使用。

elasticsearch.ssl.keystore.password
用于解密通过 elasticsearch.ssl.keystore.path 指定的密钥库的密码。如果密钥库没有密码,请将其留空。如果密钥库的密码为空,请将其设置为 ""
elasticsearch.ssl.truststore.path

包含一个或多个 X.509 证书颁发机构 (CA) 证书的 PKCS#12 信任库的路径,这些证书构成 Elasticsearch 的受信任证书链。Kibana 在建立到 Elasticsearch 的出站 SSL/TLS 连接时使用此链来建立信任。

除了此设置外,还可以通过 elasticsearch.ssl.certificateAuthorities 和/或 elasticsearch.ssl.keystore.path 指定受信任的证书。

elasticsearch.ssl.truststore.password
用于解密通过 elasticsearch.ssl.truststore.path 指定的信任库的密码。如果信任库没有密码,请将其留空。如果信任库的密码为空,请将其设置为 ""
elasticsearch.ssl.verificationMode
控制 Kibana 在建立到 Elasticsearch 的出站 SSL/TLS 连接时接收到的服务器证书的验证。有效值为 "full""certificate""none"。使用 "full" 执行主机名验证,使用 "certificate" 跳过主机名验证,使用 "none" 完全跳过验证。默认值:"full"
elasticsearch.usernameelasticsearch.password
如果您的 Elasticsearch 受基本身份验证保护,则这些设置提供 Kibana 服务器在启动时用于对 Kibana 索引执行维护的用户名和密码。Kibana 用户仍然需要通过 Elasticsearch 进行身份验证,该身份验证通过 Kibana 服务器进行代理。
elasticsearch.serviceAccountToken
如果您的 Elasticsearch 受基本身份验证保护,则此令牌提供 Kibana 服务器在启动时用于对 Kibana 索引执行维护的凭据。此设置是 elasticsearch.usernameelasticsearch.password 的替代方案。
unifiedSearch.autocomplete.valueSuggestions.timeout logo cloud
等待 Elasticsearch 提供自动完成建议的毫秒数。此值必须是大于零的整数。默认值:"1000"
unifiedSearch.autocomplete.valueSuggestions.terminateAfter logo cloud

每个分片加载以生成自动完成建议的最大文档数。此值必须是大于零的整数。默认值:"100000"

要重新加载 日志设置,请向 Kibana 发送 SIGHUP 信号。有关更多日志配置选项,请参阅 Kibana 中配置日志 指南。

logging.root
root 记录器是一个 专用记录器,并且已预先配置。root 记录器默认以 info 级别记录。如果指定任何其他日志配置,则 root 必须 也被显式配置。
logging.root.appenders
一个日志追加器列表,用于将根级别记录器实例转发到。默认情况下,root 配置了 default 追加器,该追加器使用 pattern 布局记录到 stdout。这是所有自定义记录器将使用的配置,除非它们被显式重新配置。您可以通过配置不同的 追加器 来覆盖默认行为,以应用于 root
logging.root.level logo cloud

应记录日志记录的级别。支持的级别有:allfatalerrorwarninfodebugtraceoff。级别从 all(最高)到 off 排序,如果日志记录的级别高于或等于其记录器的级别,则将记录该日志记录,否则将忽略该日志记录。使用此值可以更改整体日志级别默认值:info

设置为 all 以记录所有事件,包括系统使用信息和所有请求。设置为 off 以静默所有日志。您还可以使用日志记录 cli 命令将日志级别设置为 verbose 或静默所有日志。

以下示例显示了有效的详细 logging.root 配置

logging:
  appenders:
    console_appender:
      type: console
      layout:
        type: pattern
        highlight: true
  root:
    appenders: [console_appender]
    level: all
logging.loggers[]
允许您自定义特定的记录器实例
logging.appenders[]
追加器定义如何以及在何处显示(例如,stdout 或控制台)和存储(例如,磁盘上的文件)日志消息。
map.includeElasticMapsService logo cloud
设置为 false 以禁用与 Elastic Maps Service 的连接。当 includeElasticMapsService 关闭时,只有 map.tilemap.url 配置的切片层在 地图中可用。默认值:true
map.emsUrl
指定自托管的 Elastic Maps Server 的 URL
map.tilemap.options.attribution logo cloud
地图属性字符串。以 markdown 格式提供属性,并使用 \| 分隔属性,例如:"[attribution 1](https://www.attribution1)\|[attribution 2](https://www.attribution2)"默认值:"© [Elastic Maps Service](https://elastic.ac.cn/elastic-maps-service)"
map.tilemap.options.maxZoom logo cloud
最大缩放级别。默认值:10
map.tilemap.options.minZoom logo cloud
最小缩放级别。默认值:1
map.tilemap.options.subdomains logo cloud
瓦片服务使用的子域名数组。使用令牌 {s} 指定 URL 中子域名的位置。
map.tilemap.url logo cloud
Kibana 在 地图Vega 地图 中用作默认底图的服务的 URL。默认情况下,Kibana 会从 Elastic Maps Service 设置底图,但用户可以指向他们自己的瓦片地图服务。例如: "https://tiles.elastic.co/v2/default/{z}/{x}/{y}.png?elastic_tile_service_tos=agree&my_app_name=kibana"
migrations.batchSize
定义一次迁移的文档数量。该值越高,保存对象迁移过程的执行速度越快,但代价是内存消耗越高。如果升级迁移导致 Kibana 因内存不足异常而崩溃,或因 Elasticsearch 的 circuit_breaking_exception 而失败,请使用较小的 batchSize 值来降低内存压力。默认值:1000
migrations.maxBatchSizeBytes
定义索引已升级的保存对象批处理的最大有效负载大小,以避免因 Elasticsearch 返回 413 请求实体过大响应而导致迁移失败。此值应小于或等于 Elasticsearch 集群的 http.max_content_length 配置选项。默认值:100mb
migrations.retryAttempts
迁移重试临时故障的次数,例如网络超时、503 状态代码或 snapshot_in_progress_exception。当升级迁移在耗尽所有重试次数后频繁失败,并出现诸如 Unable to complete the [...] step after 15 attempts, terminating. 的消息时,请增大此设置值。默认值:15
newsfeed.enabled
控制是否为 Kibana UI 通知中心启用新闻源系统。设置为 false 可禁用新闻源系统。默认值:true
node.roles
[预览版] 此功能为技术预览版,可能会在未来的版本中更改或删除。Elastic 将努力修复任何问题,但技术预览版的功能不受官方 GA 功能的支持 SLA 的约束。 指示要配置 Kibana 进程的角色,这将有效地以不同的模式运行 Kibana。有效选项为 background_tasksui,或者使用 * 选择所有角色。默认值:*
notifications.connectors.default.email
选择用户通知的默认电子邮件连接器。从 8.6.0 开始,Kibana 附带了一个新的通知机制,该机制将为各种用户操作发送电子邮件通知,例如将案例分配给用户。要启用通知,必须通过 kibana.yml 在系统中预配置一个电子邮件连接器,并且必须将通知插件配置为指向该连接器的 ID。
path.data
Kibana 存储未保存在 Elasticsearch 中的持久数据的路径。默认值:data
pid.file
指定 Kibana 创建进程 ID 文件的路径。
ops.interval
设置采样系统和进程性能指标的间隔(以毫秒为单位)。最小值为 100。默认值:5000
ops.cGroupOverrides.cpuPath
当 cgroup 以与 /proc/self/cgroup 不一致的方式挂载时,覆盖 cgroup cpu 路径。
ops.cGroupOverrides.cpuAcctPath
当 cgroup 以与 /proc/self/cgroup 不一致的方式挂载时,覆盖 cgroup cpuacct 路径。
savedObjects.maxImportExportSize
可以导入或导出的保存对象最大计数。此设置的存在是为了防止 Kibana 服务器在处理大量保存对象时耗尽内存。建议仅在您确信服务器可以容纳这么多对象在内存中时才提高此设置。默认值:10000
savedObjects.maxImportPayloadBytes
Kibana 服务器将接受的保存对象导入的最大字节大小。此设置的存在是为了防止 Kibana 服务器在处理大型导入有效负载时耗尽内存。请注意,此设置仅适用于保存对象导入,它会覆盖更通用的 server.maxPayload默认值:26214400
server.basePath
允许您在代理后面运行时指定要将 Kibana 挂载到的路径。使用 server.rewriteBasePath 设置来告知 Kibana 是否应从其接收的请求中删除 basePath,并防止启动时出现弃用警告。此设置不能以斜杠 (/) 结尾。
server.publicBaseUrl
最终用户访问 Kibana 的公开可用 URL。必须包括协议、主机名、端口(如果与 httphttps 的默认值 80 和 443 不同)和 server.basePath (当显式配置该设置时)。此设置不能以斜杠 (/) 结尾。
server.compression.enabled
设置为 false 可禁用所有响应的 HTTP 压缩。默认值:true
server.cors.enabled
[预览版] 此功能为技术预览版,可能会在未来的版本中更改或删除。Elastic 将努力修复任何问题,但技术预览版的功能不受官方 GA 功能的支持 SLA 的约束。 设置为 true 可允许跨域 API 调用。默认值: false
server.cors.allowCredentials
[预览版] 此功能为技术预览版,可能会在未来的版本中更改或删除。Elastic 将努力修复任何问题,但技术预览版的功能不受官方 GA 功能的支持 SLA 的约束。 设置为 true 可允许浏览器代码在执行带有用户凭据的请求时访问响应正文。默认值: false
server.cors.allowOrigin
experimental::[] 允许访问资源的来源列表。当 server.cors.allowCredentials: true 时,您必须指定显式主机名,并且不要使用 server.cors.allowOrigin: ["*"]默认值: ["*"]
server.compression.referrerWhitelist
指定受信任主机名的数组,例如 Kibana 主机或位于其前面的反向代理。这会根据请求的 Referer 标头确定是否可以将 HTTP 压缩用于响应。当 server.compression.enabled 设置为 false 时,不能使用此设置。默认值:none
server.compression.brotli.enabled
设置为 true 可启用 brotli (br) 压缩格式。注意:不支持 brotli 压缩的浏览器将回退为使用 gzip。当 server.compression.enabled 设置为 false 时,不能使用此设置。默认值:false
server.securityResponseHeaders.strictTransportSecurity
控制是否在 Kibana 服务器对客户端的所有响应中使用 Strict-Transport-Security 标头,并指定使用的值。允许的值为任何文本值或 null。要禁用,请设置为 null默认值: null
server.securityResponseHeaders.xContentTypeOptions
控制是否在 Kibana 服务器对客户端的所有响应中使用 X-Content-Type-Options 标头,并指定使用的值。允许的值为 nosniffnull。要禁用,请设置为 null默认值: "nosniff"
server.securityResponseHeaders.referrerPolicy
控制是否在 Kibana 服务器对客户端的所有响应中使用 Referrer-Policy 标头,并指定使用的值。允许的值为 no-referrerno-referrer-when-downgradeoriginorigin-when-cross-originsame-originstrict-originstrict-origin-when-cross-originunsafe-urlnull。要禁用,请设置为 null默认值: "strict-origin-when-cross-origin"
server.securityResponseHeaders.permissionsPolicy
[预览版] 此功能为技术预览版,可能会在未来的版本中更改或删除。Elastic 将努力修复任何问题,但技术预览版的功能不受官方 GA 功能的支持 SLA 的约束。 控制是否在 Kibana 服务器对客户端的所有响应中使用 Permissions-Policy 标头,并指定使用的值。允许的值为任何文本值或 null。有关定义的指令、值和文本格式,请参阅 Permissions-Policy 文档。要禁用,请设置为 null默认值: camera=(), display-capture=(), fullscreen=(self), geolocation=(), microphone=(), web-share=()
server.securityResponseHeaders.permissionsPolicyReportOnly
[预览版] 此功能为技术预览版,可能会在未来的版本中更改或删除。Elastic 将努力修复任何问题,但技术预览版中的功能不受官方 GA 功能的支持 SLA 约束。 控制是否在 Kibana 服务器向客户端的所有响应中使用 Permissions-Policy-Report-Only 标头,并指定使用的值。允许的值为任何文本值或 null。有关定义的指令、值和文本格式,请参阅 Permissions-Policy 文档
server.securityResponseHeaders.disableEmbedding
控制是否配置 Content-Security-PolicyX-Frame-Options 标头以禁用使用 iframe 将 Kibana 嵌入到其他网页中。当设置为 true 时,将使用安全标头禁用嵌入,这会将 frame-ancestors: 'self' 指令添加到 Content-Security-Policy 响应标头,并添加 X-Frame-Options: SAMEORIGIN 响应标头。默认值: false
server.securityResponseHeaders.crossOriginOpenerPolicy
控制是否在 Kibana 服务器向客户端的所有响应中使用 Cross-Origin-Opener-Policy 标头,并指定使用的值。允许的值为 unsafe-nonesame-origin-allow-popupssame-originnull。要禁用,请设置为 null默认值: "same-origin"
server.customResponseHeaders logo cloud
在 Kibana 服务器向客户端的所有响应中发送的标头名称和值。默认值:{}
server.shutdownTimeout
设置 Kibana 在收到 SIGTERM/SIGINT 信号后尝试解决任何正在进行的 HTTP 请求以及关闭之前的宽限期。在此期间收到的任何新的 HTTP 请求都将被拒绝,因为传入的套接字已关闭,不再进行处理。默认值:30 秒
server.host
此设置指定后端服务器的主机。要允许远程用户连接,请将值设置为 Kibana 服务器的 IP 地址或 DNS 名称。使用 0.0.0.0 使 Kibana 侦听所有 IP(公共和私有)。默认值:"localhost"
server.keepaliveTimeout
在重新启动 server.socketTimeout 计数器之前等待额外数据的毫秒数。默认值:"120000"
server.maxPayload
传入服务器请求的最大有效负载大小(以字节为单位)。默认值:1048576
server.name
一个人类可读的显示名称,用于标识此 Kibana 实例。默认值:"your-hostname"
server.port
Kibana 由后端服务器提供服务。此设置指定要使用的端口。默认值:5601
server.protocol

[预览版] 此功能为技术预览版,可能会在未来的版本中更改或删除。Elastic 将努力修复任何问题,但技术预览版中的功能不受官方 GA 功能的支持 SLA 约束。 要使用的 http 协议,可以是 http1http2。设置为 http2 可为 Kibana 服务器启用 HTTP/2 支持。默认值:http1

默认情况下,启用 http2 需要有效的 h2c 配置,这意味着必须通过 server.ssl.enabled 启用 TLS,并且如果指定,server.ssl.supportedProtocols 必须至少包含 TLSv1.2TLSv1.3。可以通过在配置中添加 server.http2.allowUnsecure: true 来禁用对 h2c 设置的严格验证。

server.requestId.allowFromAnyIp
设置是否应信任来自任何 IP 地址的 X-Opaque-Id 标头,以在日志中识别请求并转发到 Elasticsearch。
server.requestId.ipAllowlist
应信任其 X-Opaque-Id 标头的 IPv4 和 IPv6 地址列表。通常,这应设置为最终用户用于访问 Kibana 的负载均衡器或反向代理的 IP 地址。如果设置了任何地址,则还必须将 server.requestId.allowFromAnyIp 设置为 false.
server.rewriteBasePath
指定 Kibana 是否应重写以 server.basePath 为前缀的请求,或者是否要求您的反向代理重写它们。默认值:false
server.socketTimeout
关闭非活动套接字之前等待的毫秒数。默认值:"120000"
server.payloadTimeout
设置客户端在放弃并响应请求超时 (408) 错误响应之前传输请求有效负载(正文)允许的最大时间。默认值:"20000"
server.ssl.certificateserver.ssl.key

PEM 编码的 X.509 服务器证书及其相应私钥的路径。Kibana 使用这些路径在接收来自用户的入站 SSL/TLS 连接时建立信任。

这些设置不能与 server.ssl.keystore.path 结合使用。

server.ssl.certificateAuthorities

一个或多个 PEM 编码的 X.509 证书颁发机构 (CA) 证书的路径,这些证书构成了 Kibana 的可信证书链。Kibana 使用此链在接收来自最终用户的入站 SSL/TLS 连接时建立信任。如果启用了 PKI 身份验证,Kibana 还会使用此链来验证来自最终用户的客户端证书。

除了此设置之外,还可以通过 server.ssl.keystore.path 和/或 server.ssl.truststore.path 指定受信任的证书。

server.ssl.cipherSuites
有关格式和有效选项的详细信息,请参阅 OpenSSL 密码列表格式文档默认值:TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256, ECDHE-ECDSA-AES128-GCM-SHA256, ECDHE-RSA-AES256-GCM-SHA384, ECDHE-ECDSA-AES256-GCM-SHA384, DHE-RSA-AES128-GCM-SHA256, ECDHE-RSA-AES128-SHA256, DHE-RSA-AES128-SHA256, ECDHE-RSA-AES256-SHA384, DHE-RSA-AES256-SHA384, ECDHE-RSA-AES256-SHA256, DHE-RSA-AES256-SHA256, HIGH,!aNULL, !eNULL, !EXPORT, !DES, !RC4, !MD5, !PSK, !SRP, !CAMELLIA
server.ssl.clientAuthentication
控制 Kibana 中请求客户端连接证书的行为。有效值为 "required""optional""none"。使用 "required" 将拒绝建立连接,除非客户端提供证书,使用 "optional" 将允许客户端在具有证书的情况下提供证书,而使用 "none" 将阻止客户端提供证书。默认值:"none"
server.ssl.enabled
| 为与 Kibana 的入站连接启用 SSL/TLS。设置为 true 时,必须提供证书及其相应的私钥。可以通过 server.ssl.keystore.pathserver.ssl.certificateserver.ssl.key 的组合来指定这些。默认值:false
server.ssl.keyPassphrase
解密通过 server.ssl.key 指定的私钥的密码。此值为可选,因为该密钥可能未加密。
server.ssl.keystore.path

包含 X.509 服务器证书及其相应私钥的 PKCS#12 密钥库的路径。如果密钥库包含任何其他证书,这些证书将用作 Kibana 的可信证书链。所有这些都由 Kibana 使用,以在接收来自最终用户的入站 SSL/TLS 连接时建立信任。当启用 PKI 身份验证时,Kibana 还会使用证书链来验证来自最终用户的客户端证书。

除了此设置之外,还可以通过 server.ssl.certificateAuthorities 和/或 server.ssl.truststore.path 指定受信任的证书。

此设置不能与 server.ssl.certificateserver.ssl.key 结合使用

server.ssl.keystore.password
将用于解密通过 server.ssl.keystore.path 指定的密钥库的密码。如果密钥库没有密码,请保留此项未设置。如果密钥库的密码为空,请将其设置为 ""
server.ssl.truststore.path

包含一个或多个 X.509 证书颁发机构 (CA) 证书的 PKCS#12 信任库的路径,这些证书构成了 Kibana 的可信证书链。Kibana 使用此链在接收来自最终用户的入站 SSL/TLS 连接时建立信任。如果启用了 PKI 身份验证,Kibana 还会使用此链来验证来自最终用户的客户端证书。

除了此设置之外,还可以通过 server.ssl.certificateAuthorities 和/或 server.ssl.keystore.path 指定受信任的证书。

server.ssl.truststore.password
将用于解密通过 server.ssl.truststore.path 指定的信任库的密码。如果信任库没有密码,请保留此项未设置。如果信任库的密码为空,请将其设置为 ""
server.ssl.redirectHttpFromPort
Kibana 绑定到此端口并将所有 http 请求重定向到配置为 server.port 的端口上的 https。
server.ssl.supportedProtocols
支持的带版本的协议数组。有效的协议:TLSv1TLSv1.1TLSv1.2TLSv1.3默认值:TLSv1.1、TLSv1.2、TLSv1.3
server.uuid
此 Kibana 实例的唯一标识符。它必须是一个有效的 UUIDv4。如果未指定,它将在首次启动时自动生成,并保存在 data 路径中。
server.xsrf.allowlist

不建议禁用对任意 API 端点的保护。 请改用 kbn-xsrf 标头。server.xsrf.allowlist 设置需要以下格式

*Default: [ ]* An array of API endpoints which should be exempt from Cross-Site Request Forgery ("XSRF") protections.
server.xsrf.disableProtection
将此项设置为 true 将完全禁用 Kibana 中的跨站请求伪造保护。不建议这样做。默认值:false
status.allowAnonymous
如果启用了身份验证,将此项设置为 true 可以允许未经身份验证的用户访问 Kibana 服务器状态 API 和状态页面。默认值:false
telemetry.allowChangingOptInStatus
false 时,用户无法通过高级设置更改选择加入状态,Kibana 只会查看 telemetry.optIn 的值来确定是否发送遥测数据。默认值:true
telemetry.optIn

设置为 false 以停止向 Elastic 发送任何遥测数据。报告集群统计信息有助于我们改进您的用户体验。当 false 时,遥测数据永远不会发送到 Elastic。

此设置可以随时在高级设置中更改。要防止用户更改它,请将 telemetry.allowChangingOptInStatus 设置为 false默认值:true

vis_type_vega.enableExternalUrls logo cloud
将此值设置为 true 以允许 Vega 使用任何 URL 访问外部数据源和图像。当为 false 时,Vega 只能从 Elasticsearch 获取数据。默认值:false
xpack.ccr.ui.enabled
将此值设置为 false 以禁用跨集群复制 UI。默认值:true
xpack.discoverEnhanced.actions.exploreDataInContextMenu.enabled

启用 探索底层数据 选项,允许您从仪表板面板打开 Discover 并查看面板数据。默认值:false

当您使用 Lens 拖放编辑器创建可视化效果时,可以使用工具栏在 Discover 中打开和探索您的数据。有关详细信息,请查看在 Discover 中探索数据

xpack.discoverEnhanced.actions.exploreDataInChart.enabled
使您可以从仪表板面板查看数据系列中的底层文档。默认值:false
xpack.ilm.ui.enabled
将此值设置为 false 以禁用索引生命周期策略 UI。默认值:true
xpack.index_management.ui.enabled
将此值设置为 false 以禁用索引管理 UI。默认值:true
xpack.license_management.ui.enabled
将此值设置为 false 以禁用许可证管理 UI。默认值:true
xpack.remote_clusters.ui.enabled
将此值设置为 false 以禁用远程集群 UI。默认值:true
xpack.rollup.ui.enabled

将此值设置为 false 以禁用 Rollup 作业 UI。默认值:true

在 8.11.0 中已弃用。

Rollups 已弃用,将在未来的版本中删除。请改用降采样

xpack.snapshot_restore.ui.enabled
将此值设置为 false 以禁用快照和还原 UI。默认值:true
xpack.upgrade_assistant.ui.enabled
将此值设置为 false 以禁用升级助手 UI。默认值:true
i18n.locale logo cloud
设置此值以更改 Kibana 界面语言。有效的语言环境为:enzh-CNja-JPfr-FR默认值:en
« 使用 Docker 安装 Kibana Kibana 中的 AI 助手设置 »